desperado
Goto Top

How to... W32.CodBot-S

(mapi32.exe, aaa.exe-zzz.exe,rdriv.sys,extel.exe)

* Hier wird beschrieben wie man Registry-Einträge löscht. Wer dies macht handelt auf eigene Verantwortung. Bei mir hat u.g. Vorgehensweise keine Systemschädigungen oder Funktionsprobleme verursacht. *

Hallo zusammen,

ich habe viele Beiträge gelesen, in denen nur eine Neuinstallation empfohlen wird. Ich möchte hier kurz dokumentieren, wie wir o.g. Wurm aus dem System geschafft haben... Der Trojaner erzeugt unheimlichen Netzwerktraffic, öffnet plötzlich HTML-Seiten (lokale) von Microsoft oder Symantec. Zudem versucht er zig Reg-Einträge zu machen... Die Microsoft-Seiten heissen update*.html usw. Ausserdem liegen batch-Dateien im winnt-Verzeichnis die r.bat (r.rar), l.bat (l.rar) o.ä. heissen können. Diese habe ich sofort gelöscht. Sie sind verantwortlich für die Registry-Einträge. Gerne werden Programme wie Internet Optimizer oder Media-Motor installiert. Deinstallation bringt nix. HiJackThis hilft Euch diese Programme zu erkennen. Meist wird versucht auf eine Seite mit der einer 217er IP zu connecten, die sich plötzlich öffnet.

1.) aaa.exe-zzz.exe/mapi32.exe

Win im abgesicherten Modus/Eingabeaufforderung. Dann Datei.exe umbenennen und verschieben. Löschen ist hier noch nicht möglich. System erneut starten, Datei ist kein aktiver Prozess mehr und kann daher gelöscht werden.

2.) rdriv.sys

Win im ab gesicherten Modus. rdriv befindet sich in c:\winnt\system32. die datei löschen. in der registry
nach rdriv suchen. Neben einigen Druckern wird hier auch ein verzeichnis gefunden, das rdriv heisst. hier stehen wahrscheinlich entweder die aaa.exe-zzz.exe oder eine mapi32.exe drin. das komplette verzeichnis löschen (achtung, kann mehrfach vorkommen).

3.) extel.exe

Wie oben, Datei liegt aber im c:\winnt ODER in c:\winnt\system32. Auch hier Registry-Einträge suchen. Sollte die Datei nicht gelöscht werden können mit msconfig aus dem Systemstart nehmen.

4.) system hochfahren und aktive prozesse suchen (aaa.exe-zzz.exe, mapi32.exe).

zum schluss sollte ein umfassender virenscan durchgeführt werden. Ich empfehle den Onlinescanner von trendmicro.de

Hoffe, das Tutorial wird einigen helfen...

Grüsse, Desperado

P.S.: BitDefender FreeEdition 7.2 (umsonst, Vollversion) findet diese Trojaner als IRC.Backdoor-Trojaner... www.bitdefender.de // Wer sich mehr leisten kann, dem sei McAfee Enterprise empfohlen. Auch er findet alle diese Trojaner.

* Update: Der Reg-Key LEGACY_RDRIV gehört voraussichtlich nicht zu Trojanern ***

Content-ID: 13345

Url: https://administrator.de/contentid/13345

Ausgedruckt am: 21.11.2024 um 16:11 Uhr